Utilizatorilor OS X le place să-și bată joc de utilizatorii Windows ca singurii care au o problemă malware. Dar acest lucru pur și simplu nu mai este adevărat, iar problema a crescut dramatic în ultimele luni. Alăturați-vă nouă în timp ce expunem adevărul despre ceea ce se întâmplă cu adevărat și, sperăm, să îi avertizăm pe oameni cu privire la fatalitatea iminentă.
Deoarece este de fapt Unix sub capotă, OS X are o protecție nativă împotriva celor mai grave tipuri de viruși. Însă problema de astăzi nu este virușii care vă întrerup computerul, ci spyware, crapware și adware care se strecoară pe computer, vă deturnează browserul, inserează reclame și urmăresc ceea ce vă uitați. Și o mare parte din aceasta este legală, pentru că ești păcălit să dai clic pe un lucru greșit în timpul instalării.
LEGATE DE: Download.com și alții includ pachet de adware de tip Superfish HTTPS
Și acum descărcați site-uri, anunțuri false pentru software-ul de pe motoarele de căutare și aplicații incomplete care adună adware și crapware în instalatori pentru software legitim. Nu vă mai puteți presupune că sunteți în siguranță, deoarece sunteți pe OS X. Trebuie să aveți grijă ce descărcați și ce faceți clic.
Dacă nu credeți că este o mare problemă, gândiți-vă din nou. Aceste bucăți de adware se inserează direct în browser și analizează și rulează chiar și pe site-uri securizate, cum ar fi banca dvs., site-ul cardului de credit și e-mail, trimitând date înapoi la serverele lor. Nu le folosesc un proxy de deturnare HTTPS încă din ceea ce putem spune în timpul cercetării noastre, dar este doar o chestiune de timp și s-ar putea să o facă deja și încă nu am găsit dovada.
Întrucât suntem în primul rând utilizatori de Mac aici, la How-To Geek, sperăm cu adevărat că Apple adoptă o tactică diferită cu această problemă decât Microsoft are cu Windows și nu le permite acestor escroci să-și distrugă platforma.
Pachetele Crapware pentru OS X se înrăutățesc în fiecare zi
Nu cu mult timp în urmă ați putut instala aproape orice pentru OS X de pe aproape orice site web și nu trebuia să vă faceți griji cu privire la ceea ce ați făcut clic. Acest lucru nu mai este adevărat și, deși lucrurile sunt mai bune decât sunt pe Windows, este doar o chestiune de timp în acest moment.
LEGATE DE: Iată ce se întâmplă când instalați primele 10 aplicații Download.com
Aveți în continuare o sursă sigură pentru software cu Mac App Store, dar problema este că nu toți furnizorii își vând software-ul prin App Store și mulți dintre ei vând versiuni mai vechi acolo și au cea mai recentă versiune pe propriul site web. Dacă rămâneți în App Store, nu aveți de ce să vă faceți griji. Ne-ar plăcea să vedem Apple să remedieze unele dintre problemele din App Store și să îi facem pe toți să o folosească.
La fel ca pe Windows, tu nu trebuie să căutați mai departe decât Descărcările CNET pentru a găsi crapware la pachet ... chiar și pentru Mac. Așa este, au mers pe mai multe platforme cu aceste prostii. Și au agravat-o, deoarece aveți fie un buton de instalare, fie un buton Închidere. Nu mai există nici măcar un Declin! Când faceți clic pe Închidere, programul de instalare se închide complet. Așadar, fie aveți pachete crapware care vă deturnează browserul, fie nu instalați aplicația respectivă.
Cea din captură de ecran instalează Spigot și o grămadă de alte prostii care îți redirecționează browserul către Yahoo, instalează o grămadă de pluginuri nedorite și, în general, face să plângă monstrul zburător de spaghete. Este uimitor cât de mulți bani Yahoo trebuie să se scufunde în aceste lucruri pentru a-ți deturna browserul către motorul lor de căutare ... când nici măcar nu le aparține. Yahoo Search este într-adevăr doar o versiune rebrandedă a lui Bing. Bine.
Vai! În ecranul următor, instalatorul vă permite în cele din urmă să refuzați ceva din nou! Poate că lucrul din captură de ecran este atât de rău, chiar și Descărcările CNET nu vor să vă impună. Nu este un semn bun.
Desigur, nu doar descărcările CNET fac gruparea - am găsit o serie de alte aplicații distribuite pe site-uri de descărcare freeware care își fac propriile grupări. De exemplu, YTD asta încarcă adware de deturnare HTTPS pentru Windows are o versiune Mac. Și sunt, de asemenea, la pachet cu Spigot. Vrei să torentezi ceva? De ce nu descărcați uTorrent de pe site-ul lor? Se pare că oamenilor le place să folosească asta. Ohhh.
Problema devine mult, mult mai gravă atunci când încercați să căutați freeware folosind motorul dvs. de căutare preferat. Merită menționat aici că Google tocmai a început recent să încerce să interzică crapware-ul la pachet din rezultatele și anunțurile lor, dar, din păcate, Yahoo și Bing nu au același nivel de minunat. De fapt, sunt doar teribile.
Dacă sunteți un utilizator obișnuit și obișnuit și căutați în Yahoo „descărcare vlc”, vi se va prezenta ceva care arată ca următoarea captură de ecran. Și fiecare lucru de pe pagină este de fapt un link către un program de instalare crapware pentru VLC, și aproape toate sunt pe mai multe platforme și funcționează pe OS X. Și textul care spune „anunț” este aproape invizibil.
Atunci când un utilizator nebănuit încearcă să utilizeze unul dintre acești instalatori, li se va prezenta un ecran similar cu acesta ... care instalează îngrozirea InstallMac, care deturnează totul și introduce adware în sistemul dvs. - este teribil. Și, desigur, următorul ecran încearcă să vă determine să instalați altceva de care nu aveți nevoie. Și apoi altceva. Este atât de mult crapware.
Am găsit mult mai multe programe software care sunt difuzate în acest fel, cu o grămadă de instalatori de la aproape fiecare companie de instalatori de crapware. Iată un pachet de instalare pentru OpenOffice la pachet cu o bucată de adware cu adevărat urâtă, care doar îți preia browserul. Da, am căutat din nou pe Yahoo pentru OpenOffice și am făcut clic pe ceea ce credeam că este de fapt site-ul real, deoarece textul lor „publicitar” era atât de mic încât nu puteam face diferența. Și asta a venit.
Este pe cale să devină o epidemie pentru utilizatorii de Mac. Deci, la ce trebuie să așteptăm cu nerăbdare?
Adware și Malware pe OS X sunt aproape la fel de îngrozitoare ca pe Windows
Când reușiți să vă infectați cu ceva, majoritatea programelor publicitare, malware și spyware de pe OS X vor încerca cumva să vă infecteze browserul, deturcând noua filă, căutarea și paginile de start, injectând anunțuri în pagini și aleatoriu apărând alerte de asistență tehnică neplăcute. Majoritatea nu vă vor șterge hard disk-ul sau ceva cu adevărat teribil ... dar pe baza sofisticării tot mai mari pe care o vedem, este doar o chestiune de timp.
Multe dintre aceste pirate de browser vor insera anunțuri care afișează mesaje care nu pot fi respinse indiferent de ceea ce faceți, după cum puteți vedea în captura de ecran de mai sus. Și vor apărea aleatoriu tot timpul în timp ce navigați și trebuie să faceți CMD + Q pentru a închide complet aplicația pentru a scăpa de ele. În esență, browserul dvs. devine complet inutil.
Cel mai simplu program publicitar se va instala în browserul dvs. ca extensie și va reseta toate paginile pentru a trece prin motorul lor de căutare îngrozitor și teribil. Și prin asta ne referim în principal la Yahoo ... dar există o mulțime de alții precum searchmoose, search-quick și searchbenny care folosesc propriile lor motoare de căutare false. Câteva dintre ele vă vor redirecționa către Bing, dar niciodată direct. Este întotdeauna printr-un intermediar ca Trovi.
Majoritatea anunțurilor care sunt injectate vor încerca să vă păcălească să instalați și mai multe anunțuri folosind mesaje false Java plugin sau mesaje care vă spun să instalați un codec sau o nouă versiune de Flash. Toate acestea sunt false, desigur, și vor instala doar mai multe crapware și malware pe computer. Din când în când, unul dintre ei va încerca să difuzeze o bucată de adware Windows, dar în cea mai mare parte sunt suficient de inteligenți pentru a ști că sunteți un utilizator Mac și pentru a servi bucata de crapware adecvată.
O mulțime de adware vă va redirecționa motorul de căutare către un motor de căutare fals care seamănă foarte mult cu Google sau Bing, dar toate rezultatele nu sunt altceva decât reclame.
Și apoi va începe să vorbească aleatoriu cu tine. Literalmente. Redă reclame audio prin difuzoare. Am auzit un anunț pentru Northrup Grumman. Cât de nebun e asta? (Suntem foarte siguri că nu știu despre asta.)
Tocmai am arătat unele dintre programele publicitare enervante, dar o mare parte din crapware-ul inclus este destul de prost, și aproape fiecare pachet de crapware pe care l-am găsit și aproape fiecare anunț publicitar adware a încercat să ne determine să instalăm MacKeeper. Nu știm prea multe despre asta, deși intenționăm să analizăm cum funcționează, deoarece aceste tactici sunt discutabile.
Cea mai mare tendință pe care am observat-o în adware este că aproape toate încearcă să vă redirecționeze browserul și motorul de căutare către Yahoo. Cineva de acolo de la Yahoo trebuie să fie concediat.
Digging Deeper: Cum funcționează de fapt unele dintre aceste programe malware
Adware-ul simplu funcționează la fel ca majoritatea adware-ului, instalându-se în extensiile Safari, care este destul de ușor de dezinstalat. Problema este că doar câteva bucăți de adware au funcționat în acest fel în cercetarea noastră.
Toate deturnările motorului de căutare, redirecționarea paginii de pornire și extensiile care injectează reclame sunt un lucru. Problema mai mare este malware-ul grav, care se instalează adânc în sistemul de operare, iar persoana obișnuită nu ar putea niciodată să o elimine. Nu există un program de dezinstalare, nu există niciun element de pornire, nu există pluginuri în browser, extensii sau orice altceva care pare să fie instalat.
Totuși, există reclame groaznice injectate în tot ceea ce faceți, făcând computerul mai lent decât murdăria. Motorul dvs. de căutare va fi deturnat și este posibil ca browserul dvs. să fie redirecționat printr-un proxy. Acesta este malware complet, nu mai este doar adware, chiar dacă ați uitat din greșeală debifați o casetă undeva. Funcționează la fel Trovi malware face pe Windows , injectându-se în procese.
Aceste elemente malware mai grave se instalează ca un demon sau serviciu, care rulează în fundal și în culise. Puteți găsi aceste lucruri în folderul / Library / LaunchAgents sau / Library / LaunchDaemons, care va avea câteva elemente cu aspect ciudat, care pur și simplu nu aparțin. Acest dosar ar putea fi, de asemenea, utilizat pentru lucruri reale din aplicații reale, așa că nu purtați complet acest folder sau nimic.
O examinare a fișierului plist vă va arăta unde se află malware-ul real, care se află de obicei într-un folder complet separat.
Când vă îndreptați în acel folder și examinați fișierul Version.plist, veți obține mai multe informații despre ceea ce se întâmplă de fapt. Acest lucru se numește Căutare rapidă și acceptă deturnarea Chrome și Safari, precum și construcția Webkit pe timp de noapte din anumite motive.
Examinarea în continuare vine cu ceva curios ... persoana care a scris acest malware a vrut să mulțumească în mod special mamei sale.
Odată ce malware-ul este lansat de OS X ca un demon, acesta folosește apoi o funcție puțin cunoscută în OS X care permite unui proces să se injecteze singur într-un alt proces. Puteți vedea cum funcționează deschizând un terminal și executând direct executabilul agentului. Ce se întâmplă de fapt este că se va atașa la browserul dvs. web și se va încărca ca o extensie ascunsă. În captura de ecran de mai jos puteți vedea că s-a activat pentru ID-ul procesului 544, care a fost Google Chrome. Va face același lucru cu Safari dacă este deschis.
Aceasta înseamnă că rulează adware sau malware interior din browserul dvs. web, injectându-se în fiecare pagină pe care o vizitați. Nu contează dacă vizitați sau nu un site bancar securizat, acestea sunt deja în interior. Unul dintre efectele secundare ale acestui malware este că întregul computer va fi extrem de lent, tot timpul, indiferent de ceea ce faceți.
Pentru câteva sfaturi despre eliminarea programelor adware și malware din OS X, puteți citiți documentul de asistență Apple sau pur și simplu așteptați articolele noastre viitoare despre acest subiect. Vom face mult mai multe cercetări în toate aceste lucruri.
Deci, ce înseamnă toate acestea și cum te protejezi?
Chiar dacă am arătat că programele malware, adware, crapware și spyware se înrăutățesc din ce în ce mai mult pe OS X, asta nu înseamnă că trebuie neapărat să vă faceți griji sau să ieșiți să instalați Linux sau să faceți ceva drastic. OS X încă nu este vizat la fel de mult ca Windows și există încă unele măsuri de securitate care fac mai dificilă trecerea malware-ului.
Cel mai sigur lucru pe care îl puteți face este să utilizați Mac App Store pentru a vă instala aplicațiile ori de câte ori este posibil. Aceste aplicații au fost verificate de Apple și ar trebui să fie foarte bine utilizate și cu siguranță nu vor veni cu niciun crapware sau adware pachet.
Restricționați aplicațiile care nu provin din App Store
Aceasta nu va rezolva în totalitate problema, dar puteți configura OS X pentru a restricționa automat orice executabil care nu provine din App Store. Acest lucru nu se va aplica aplicațiilor deja instalate pe computer, indiferent de unde provin. Se va aplica pur și simplu noilor descărcări.
Accesați Preferințe sistem -> Securitate și confidențialitate, faceți clic pe pictograma Blocare din partea de jos, apoi întoarceți setarea la Mac App Store în loc de setarea implicită.
După ce faceți acest lucru, încercarea de a rula orice lucru care nu se află în App Store va afișa automat un mesaj de blocare. Puteți alege să îl deschideți în continuare dacă faceți clic dreapta și alegeți Deschidere, apoi alegeți Deschidere din nou, dar în mod implicit totul este blocat.
Acest lucru nu rezolvă problema aplicațiilor pe care le aveți do doriți să instalați având crapware pachet care necesită renunțarea implicită. Dar este un cadru excelent de securitate pentru rudele voastre.
Când trebuie să instalați o aplicație din altă parte, asigurați-vă că este într-adevăr o sursă de încredere și nu un site fals care oferă freeware open source cu un împachetator bundleware.
LEGATE DE: Oracle nu poate securiza pluginul Java, deci de ce este activat în mod implicit?
De asemenea, ar trebui să luați în considerare dezactivarea pluginurilor browserului - pentru Chrome și Firefox, este destul de ușor , pentru Safari este un puțin mai complicat . Cel mai mare lucru pe care îl poți face este dezactivați pluginul Java , pentru că este destul de rar să ai nevoie de asta și pentru că Java a fost responsabil pentru 91% din atacuri în 2013 . Acest lucru vă va reduce probabilitatea de a fiind vizat cu un atac de zero zile .
S-ar putea să fie chiar timpul să începeți să luați în considerare un antivirus pentru OS X, cel puțin dacă doriți să instalați o mulțime de software din surse din afara App Store. Dacă nu, probabil că nu este la fel de mare, dar ne apropiem de punctul în care va fi nevoie. Ceea ce încă nu suntem siguri este ceea ce antivirusul pentru Mac merită și blochează acest tip de lucruri - pe Windows, majoritatea antivirusurilor nu blochează deloc crapware și adware, deoarece sunt legale, deoarece ați fost de acord în timpul procesul de instalare. Deci, nu plătiți doar pentru un antivirus chiar acum. Păstrați-l în minte pentru viitor.
În afară de asta, aveți grijă la ce faceți clic și nu aveți încredere în mesajele de eroare care apar în fereastra browserului dvs. web. Dacă vedeți ceva care spune că computerul dvs. este infectat și apare un mesaj, țineți apăsată combinația de taste de comandă rapidă CMD + Q pentru a închide imediat orice.
Nu există un moment mai bun pentru utilizatorii de Windows să treacă la Mac. Odată cu dezvoltarea acestui crapware și adware, se vor simți ca acasă! (Glumim, desigur.)
